Upload
truonglien
View
215
Download
2
Embed Size (px)
Citation preview
Informationssicherheitsmanagement-System nach ISO 27000
Diplomarbeit
zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswis-senschaftlichen Fakultät der Leibniz Universität Hannover
vorgelegt von
Name: Nonnsen Vorname: Sönke
Geb. am: 23.01.1979 in: Offenbach am Main
Erstprüfer: Prof. Dr. Breitner
Hannover, den 13.11.2007
Inhaltsverzeichnis
1 Einleitung .................................................................................................... 1
2 Informationssicherheit und Management .................................................. 11
3 Normen und Standards ............................................................................. 13
3.1 Produktbezogene Standards ............................................................. 13
3.1.1 IT-Grundschutzhandbuch ........................................................... 14
3.1.2 Common Criteria ISO/IEC 15408 und ITSEC ............................. 18
3.2 Systembezogene Standards .............................................................. 22
3.2.1 BSI 100 ....................................................................................... 22
3.2.2 CobiT .......................................................................................... 24
3.2.3 SOX / SAS 70 Reports ............................................................... 27
3.3 IT Services and Software Engineering ............................................... 31
3.3.1 Information Technology Infrastructure Library (ITIL) ................... 31
3.3.2 CMMI .......................................................................................... 34
3.3.3 (Spice) ISO 15504 ...................................................................... 36
3.4 Risiko - Management ......................................................................... 37
3.4.1 Was ist Risiko? ........................................................................... 37
3.4.2 BSI 100-3 .................................................................................... 41
3.4.3 ISO/IEC 13335 ............................................................................ 42
3.4.4 ONR 49000 ................................................................................. 44
4 ISO 27000 ................................................................................................. 46
4.1 ISO/IEC 27001:2007 .......................................................................... 46
4.1.1 Ausgestaltung des Standards ..................................................... 47
4.1.2 Der Management Rahmen (PDCA) ............................................ 49
4.1.3 Verantwortung der Leitung ......................................................... 52
4.2 Zertifizierung ...................................................................................... 53
4.3 Vorteile dieser Prozess Betrachtung .................................................. 53
5 Konzept einer ISO 27001 Umsetzung ....................................................... 55
5.1 Fallbeispiel NRG Deutschland GmbH ................................................ 55
5.1.1 Die Geschäftsfelder der NRG Deutschland GmbH ..................... 57
5.2 Anforderungen der Stakeholder ......................................................... 58
5.3 Was tut NRG/Ricoh für die Sicherheit der Kunden ............................ 59
5.4 ISO 27001 Zertifizierung der NRG Family Group .............................. 63
5.5 Projektplanung ................................................................................... 64
5.6 Integration in bestehende Managementsysteme ............................... 70
5.7 Auditing und Zertifizierung ................................................................. 71
6 Fazit und Ausblick ..................................................................................... 73
6.1 Nachhaltiges Konzept ........................................................................ 73
6.2 Aligning Cobit, ITIL und ISO 27001 ................................................... 73
6.3 Ausblick ............................................................................................. 75
7 Literaturverzeichnis ..................................................................................... 1
1 Einleitung
Seite 1
1 Einleitung
Der Einsatz moderner Informationstechnologie (IT) in Unternehmen hat in
der Vergangenheit einen immer größer werdenden Stellenwert eingenom-
men. IT ersetzt und ergänzt klassische Technologien, z. B. das klassische
Telefon durch Voice-over-IP (VoIP), und hebt auf diesem Weg unentdeckte
Effizienzen. Die erfolgreiche Implementierung und Nutzung von IT ist ein all-
gemein gültiger Wettbewerbsfaktor geworden. Die Wandlung des Unterneh-
mens, um zukünftigen Anforderungen gerecht zu werden, sowie die Gestal-
tung neuer, den Unternehmenswert steigernder, Produkte und Services, ist
ohne den Einsatz moderner IT kaum vorstellbar. IT wird praktisch in sämtli-
chen Bereichen moderner Unternehmen eingesetzt. Die Kommunikation mit
Kunden und Lieferanten wird über E-Mail und andere IT abhängige Kanäle
realisiert. Viele Tätigkeiten können dank moderner IT-Infrastrukturen stand-
ortunabhängig ausgeübt werden. Somit kann IT zu Recht das Potenzial zu-
gesprochen werden Haupttreiber des ökonomischen Wachstums im 21sten
Jahrhundert zu werden 1
Der Unternehmenswert setzt sich zu immer größeren Teilen aus immateriel-
len Vermögenswerten (Information, Wissen, Erfahrung, Image, Vertrauen,
Patente, etc.) zusammen. Dieser Bedeutungszuwachs Immaterieller Vermö-
genswerte hätte ohne IT nicht stattgefunden, denn IT wird benötigt um diese
Vermögenswerte speichern, verteilen und beschützen zu können. Hier liegt
allerdings auch die größte Gefahr dieser Entwicklung begründet. Während
Materielle Vermögenswerte sich durch Wegschließen oder ähnliche Verfah-
1 Vgl. “IT Governance für Geschäftsführer und Vorstände“, IT Governance Institut (ITGI), 2003, Seite 15,
http://www.isaca.org Anmerkungen: Das ITGI hat unter anderem die Control Objectives for Information and related
Technology (COBIT) entwickelt, an denen sich weltweit führende Prüfungsgesellschaften orientieren.
1 Einleitung
Seite 2
ren schützen lassen, ist dies bei Immateriellen Vermögenswerten weitaus
schwieriger. Je mehr der Unternehmenswert sich aus diesen schwer zu fas-
senden und kompliziert abzugrenzenden Werten zusammensetzt, desto in-
stabiler ist das Unternehmen selbst. Um das Unternehmen und seine Werte
in einem solchen Szenario zu schützen, ist wirksames IT-
Sicherheitsmanagement von besonderer Bedeutung.2
Die sich vergrößernde Abhängigkeit von IT bringt, wie oben schon angedeu-
tet, neue und umfängliche Risiken mit sich. In der heutigen Geschäftswelt,
die sich Global, 24 Stunden täglich und an 365 Tagen im Jahr abspielt, sind
auch die Bedrohungen Global und stets Präsent. Der Angriff oder die Bedro-
hung kann von entfernten Ländern, z. B. über das Internet, zu Zeiten, an de-
nen der Geschäftsbetrieb des bedrohten Unternehmens ruht und die Mitar-
beiter selig schlafend zu Hause liegen, stattfinden.
IT wird aber nicht nur zum managen von Unternehmensressourcen genutzt
sondern ist selbst Bestandteil dieser geworden. Informationen bilden nicht
nur die Grundlage für die Vorbereitung und Ausgestaltung von Transaktio-
nen, sondern stellen einen wichtigen Faktor im Wettbewerb zwischen Unter-
nehmen dar. Unternehmerische Ideen und unternehmerischer Erfolg resultie-
ren aus einem Informationsvorsprung gegenüber anderen Wirtschaftssubjek-
ten.“3
Die geschilderte Bedeutung moderner IT ist heutzutage nicht wirklich neu
und wird auch nicht geleugnet. Leider ist vielen Verantwortlichen die Bedeu-
2 Vgl. “IT Governance für Geschäftsführer und Vorstände“, IT Governance Institut (ITGI), 2003, Seite 15,
http://www.isaca.org Anmerkungen: Das ITGI hat unter anderem die Control Objectives for Information and related
Technology (COBIT) entwickelt, an denen sich weltweit führende Prüfungsgesellschaften orientieren.
3 Vgl. Picot, Reichwald, Wigand, S. 29: Die grenzenlose Unternehmung: Information, Organisaiton und Manage-
ment. Lehrbuch zur Unternehmensführung im Informationszeitalter. 2. Aufl., Gabler, Wiesbaden 1996.
1 Einleitung
Seite 3
tung einer sicheren IT und der damit verbundenen Werte nicht ganz so be-
wusst. Dies kann viele Gründe haben, es lässt sich aber vermuten, dass die
Verwundbarkeiten und die Gefahren denen IT-Umgebungen gegenüber ste-
hen, den Entscheidern nicht im nötigen Maße bekannt sind oder unterschätzt
werden.
Jeder Eigentümer, der sein Haus in der Nähe eines Flusses errichtet, würde,
die Bedrohung durch eine Flut vor Augen, seine „Verteidigungsanlagen“ ver-
bessern, um sein Eigentum zu schützen. Dabei würde es nicht reichen, ein-
fach nur die Eingangstür zu verschließen. Das Wasser würde durch jede
auch noch so kleine Lücke in der Verteidigung dringen. Für einen wirkungs-
vollen Schutz müssten sämtliche bekannten „Lücken“ abgedichtet und ein
Wall rund um das Haus zu errichtet werden. Diesen Wall würde er wahr-
scheinlich höher bauen als nötig, um auch gegenüber extremen und unvor-
hergesehenen Fluten geschützt zu sein. So wie es für den Hausbesitzer
selbstverständlich ist, sein Eigentum gegen Bedrohungen und Naturgewalten
zu schützen, so wichtig sollte der Schutz der Immateriellen Werte sowie der
IT in Unternehmungen genommen werden.
Gegen die gängigsten Gefahren wird, auf Grund von in der Vergangenheit
liegenden Vorfällen, immer mehr getan. Firewall- und Virenschutzprogramme
zählen zu den Standard Instrumenten der Gefahren Abwehr, gegenüber Ang-
riffen von Außen. Auch Feuerschutz und physische Zugangskontrollen, zu
sensiblen Bereichen der Informationsverarbeitung, haben in modernen Un-
ternehmen Einzug gefunden. Ein immer wichtiger werdenden Bereich stellt
die Abwehr gegenüber inneren Gefahren dar. Der Schutz interner und sen-
sibler Daten wird für viele Unternehmen, zu einem Wettbewerbsfaktor. Ein
Aspekt der inneren Sicherheit sind auch Irrtum und Nachlässigkeit der eige-
1 Einleitung
Seite 4
nen Mitarbeiter. Nicht umsonst rangiert dieser Bereich an erster Stelle, bei
einer Umfrage der Zeitschrift KES aus dem Jahr 2006, unter IT Managern.
Abbildung 1-1Bedeutung der Gefahrenbereiche KES Studie 20064
Bedeutung heute Schäden
Rang Priorität Rang Ja, bei
Irrtum und Nachlässigkeit eigener Mitarbeiter
1 1,52 1 49 %
Malware (Viren, Würmer
etc.)
2 1,06 4 35 %
Software-Mängel 3 0,6 2 46 %
Hardware-Mängel 4 0,55 3 45 %
unbefugte Kenntnisnahme,
Informationsdiebstahl, Wirt-
schaftsspionage
5 0,5 7 12 %
Unbeabsichtigte Fehler von
Externen
6 0,39 5 30 %
Mängel der Dokumentation 8 0,27 6 20 %
Irrtum und Nachlässigkeit der eigenen Mitarbeiter rangiert bei den Befragten
an erster Stelle, wenn es um IT-Sicherheit geht. Nicht nur das, bei jedem
4Leicht verändert und gekürzt übernommen aus KES – Die Zeitschrift für Informations-Sicherheit Nr. 2006 #4,5,6
1 Einleitung
Seite 5
zweiten zog ein solcher Sicherheitsvorfall einen Schaden für das Unterneh-
men nach sich. Dies ist eine wichtige Erkenntnis. Während bei Angriffen von
Malware nur 35 % der Befragten, trotz einer hohen Priorisierung und stei-
gender Thematisierung des Themas, einen Schaden melden konnten. Dar-
aus lässt sich schlussfolgern, dass die Häufigkeit bzw. die Präsenz eines
Themas in der Öffentlichkeit, nicht gleichbedeutend mit den potenziellen und
tatsächlichen Schäden, die entstehen können, ist. Software und Hardware
defekte wiegen, bei Schadensereignissen, weitaus schwerer. Auch Mängel in
der Dokumentation oder unbeabsichtigte Fehler von Externen machen in
diesem Bereich einen hohen Stellenwert aus.
Das heißt, mit Firewall- und Virenschutzprogrammen, die hauptsächlich ge-
gen Malware schützen, ist dem Thema Informationssicherheit in Unterneh-
men nicht genüge Getan. Eine ergänzende Schlussfolgerung der Umfrage
Ergebnisse könnte sein, dass die eingesetzten Programme zur Gefahrenab-
wehr erfolgreich arbeiten und die Schadensquote trotz der hohen Angriffs-
quoten erfreulicherweise niedrig ist.
Dies würde mit Abbildung 1-2 korrespondieren, wonach IT-Sicherheit für vie-
le ein eher lästiges Übel ist. Diese Sichtweise lässt auf ein „notwendiges“
Reagieren der Unternehmen auf Bedrohungen, wie z. B. Malware, schließen.
Das Nutzen moderner Kommunikationsformen bedingt die beschriebenen
Sicherheitsrisiken und erfordert den Einsatz entsprechender Maßnahmen.5
5 Vgl. KES – Die Zeitschrift für Informations-Sicherheit Nr. 2006 #4,5,6 und 2004
1 Einleitung
Seite 6
31,40%
32%
30,10%
20%
8,50%
14%
0,301
0,34
2004
2006
eher "lästiges Übel"
Mehrwert für andere Bereiche
vorrangiges Ziel der Informationsverarbeitung
gleichrangiges Ziel der Informationsverarbeitung
Die Studie zeigt weiterhin, wie zwiespältig die Sichtweise auf IT- Sicherheit
ausfällt. Während 2004 noch 30,1 % der Befragten IT-Sicherheit als vorran-
giges Ziel der Informationsverarbeitung sahen sind es 2006 nur noch 20 %.
Ein Erklärungsgrund mag die gleichzeitige Steigerung des Mehrwerts für an-
dere Abteilungen sein. 14 % der Entscheider sehen IT-Sicherheit als Mehr-
Abbildung 1-2 KES/Microsoft Sicherheitsstudie 2004/06
1 Einleitung
Seite 7
wert generierenden Faktor. Dies könnte der Teil der Manager sein, die IT-
Sicherheit, über die bisherigen Grenzen der Malware Bekämpfung hinaus, zu
einem Systemischen und ganzheitlichen Ansatz erweitern. Denn nur so kann
IT-Sicherheit über die Grenzen des „lästigen Übels“ hinaus einen Beitrag
zum Unternehmenserfolg leisten.
Einen weiteren Aspekt der IT-Sicherheit stellen die regulatorischen Anforde-
rungen an Unternehmen und Ihre Entscheider dar. Beispielsweise zählen
dazu, der Sarbanes Oxley Act (SOX) aus den USA, das deutsche KonTraG
oder auch Basel II.
„Das KonTraG präzisiert und erweitert dabei hauptsächlich Vorschriften des
HGB (Handelsgesetzbuch) und des AktG (Aktiengesetz). Mit dem KonTraG
wurde die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Un-
ternehmen erweitert. Kern des KonTraG ist eine Vorschrift, die Unterneh-
mensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem
für Risiken (Risikofrüherkennungssystem) einzuführen und zu betreiben.“6
Der Rating Prozess, der mit Basel II von den Banken gefordert wird, berück-
sichtigt im Rahmen des Operationellen Risikos, unter anderem auch, die
Wirksamkeit entsprechender Risiko-Managementsysteme zu denen auch die
IT-Sicherheit zählt.
Sarbanes Oxley wurde im Nachgang zu der Enron Pleite in den USA 2002
eingeführt. Danach müssen alle bei der Securities and Exchange Commision
(SEC) registrierten Unternehmen sowie sämtliche ausländische Niederlas-
sungen dieser Firmen die Anforderungen des Acts erfüllen. Dies gilt explizit 6 Quelle Wikipedia: http://de.wikipedia.org/wiki/Gesetz_zur_Kontrolle_und_Transparenz_im_Unternehmensbereich,
Zugriff am 4.11.2007
1 Einleitung
Seite 8
auch für nicht US-Firmen, die jedoch an amerikanischen Börsen gelistet sind.
Eine nicht Befolgung kann empfindliche Strafen nach sich ziehen. Aufgrund
dieser Ausgestaltung hatte die Einführung von SOX weltweit Konsequenzen.
So ist es nicht verwunderlich, wenn das Thema IT-Sicherheit unter den füh-
renden Finanzinstituten der Welt, nach einer Studie7 der Wirtschaftsprü-
fungsgesellschaft Deloitte & Touche, von großer Bedeutung ist.
Abbildung 1-3 Top 5 Sicherheitsinitiativen8
Als wichtigsten Bereich haben die Befragten die Einhaltung und Erfüllung
(Compliance) von Regeln und Gesetzen angegeben. Daraus lässt sich
7 2005 Global Security Survey 8 Übernommen aus Deloitte Touche Global Securitiy Survey 2005
1 Einleitung
Seite 9
schlussfolgern, dass gerade für Finanzinstitute Sicherheit nicht mehr nur ein
freiwilliges Thema ist, sondern eine vom Markt und den Stakeholdern gefor-
derte Eigenschaft. Dies lässt sich vor allem mit den Forderungen des Sarba-
nes Oxley Acts hinsichtlich an amerikanischen Börsen und der SEC geliste-
ten Unternehmen begründen.
Des weiteren ist der Stellenwert den die Aufklärung und das Training der Mi-
tarbeiter einnimmt mit 45% immer noch recht hoch und ein wesentlicher As-
pekt des Sicherheitsmanagements.
Deloitte hat die Studie dabei in die fünf, international gebräuchliche, Regio-
nen differenziert (s. h. Abbildung 1-4 auf der nächsten Seite)
• EMEA (Europa, mittlerer Osten und Afrika)
• APAC (Asien - Pazifik)
• LACRO (Latein Amerika und Karibik)
• Kanada
• USA
Hierbei fallen Regionale unterschiede ins Auge. Besonders auffällig ist, dass
in der EMEA Region Standards und Prozeduren implementiert sind, aber der
Bereich der Awareness-Schulung als Worst in Class herausfällt. Ein weiteres
Ergebnis ist die anscheinend schwache Verbreitung der ISO Normen außer-
halb Europas.
1 Einleitung
Seite 10
Abbildung 1-4 Regionale Unterschiede9
Finanzinstitute mit EMEA APAC LACRO CANADA USA
eigener Sicherheitsstrategie 89% 70% 29% 70% 83%
genügend Engagement und finanziel-len Mitteln um den regulatorischen Anforderungen gerecht zu werden
62% 56% 67% 78% 83%
Personalsicherheitsbewertungen bei IT-Mitarbeitern
43% 48% 50% 70% 52%
genügend Kompetenz und Qualifika-tionen um effektiv und effizient reagie-ren zu können
52% 31% 29% 50% 32%
ISO 17799:2000 Zertifikation oder Adaption
83% 65% 60% 60% 65%
Mindestens einer Schulungen für Mi-tarbeiter über Sicherheit und Daten-schutz in den letzten 12 Monaten
36% 77% 57% 67% 76%
Best in Class Worst in Class
Dies könnte mit der Entwicklung und dem Ursprung der Norm 17799 als
ehemaligem British Standard (BS) erklärt werden. Während der Rest der
Welt, allem voran die Amerikaner, glauben genügend Ressourcen zur Verfü-
gung zu haben, sehen die EMEA Regionen ihre Lage anders. Dort scheint
Geld und das nötige Engagement nicht genügend vorhanden. Im Wider-
spruch dazu könnte die Einschätzung bzgl. der zur Verfügung stehenden
personellen Kompetenz gesehen werden. Hier sehen sich die USA im Hinter-
treffen, was sich unter anderem in einem erheblichem Schulungsaufwand
widerspiegelt.
9 leicht verändert und gekürzt aus Deloitte Security Survey 2005
2 Informationssicherheit und Management
Seite 11
Diese Arbeit nimmt die regulatorischen und strategischen Herausforderun-
gen, die mit dem verstärkten Einsatz moderner IT in der Gesellschaft und vor
allem in Unternehmen einhergehen, zum Anlass, Standards und Methoden
zu beleuchten, die geeignet erscheinen diesem Phänomen entgegen zu tre-
ten.
Dabei wird nach einem Überblick der Schwerpunkt auf die ISO/IEC 27000
Standardfamilie gelegt.
In Kapitel 5 wird die Implementation eines Informationssicherheitsmanage-
mentsystems (ISMS) nach ISO/IEC 27001 anhand eines Fallbeispiels
exemplarisch betrachtet.
Das Ende der Arbeit bilden ein Fazit und ein Ausblick.
2 Informationssicherheit und Management
Information sind Daten, die analysiert, gemeinsam benutzt und interpretiert
werden. Informationssicherheit hat den Schutz von Informationen als Ziel.
Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in
Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit
dem Schutz elektronisch gespeicherter Informationen und deren Verarbei-
tung.10 Der Begriff "Informationssicherheit" statt IT-Sicherheit ist daher um-
fassender und wird deshalb zunehmend verwendet.11 IT-Sicherheit be-
schreibt den technischen Aspekt und ist als solcher in der Literatur jedoch
10 10 Vgl. BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise Seite 9 11 Vgl. BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise Seite 9
6 Fazit und Ausblick
Seite 73
6 Fazit und Ausblick
6.1 Ganzheitliches Konzept
Die Bedeutung moderner IT für Unternehmen kann nicht geleugnet werden.
Die Sicherheit der damit verbundenen Werte stellt eine neue Herausforde-
rung für Organisationen dar.
Best-Practices scheinen ein geeignetes Mittel zu sein, um Organisationen
langfristig vor Bedrohungen zu schützen. In der heutigen Zeit ist es nicht
mehr damit getan nur einen Virusscanner oder eine Firewall einzurichten.
Sicherheit betrifft das gesamte Unternehmen und die Mitarbeiter.
Sicherheit ist somit auch keine Bestandsaufnahme sondern ein fortlaufender
Prozess, der ständiger Anpassungen und Verbesserungen bedarf. Dies wird
durch den kontinuierlichen Verbesserungsprozess eines ISMS gewährleistet.
Die Implementation von Sicherheit in ein Managementsystem scheint nicht
nur Zweckmäßig, sondern ideal, den Anforderungen der Zukunft zu begeg-
nen. Die Verflechtung mit den strategischen Zielen der Unternehmung macht
ein ISMS zu einem Nachhaltigen Konzept, das auf die Bedürfnisse der jewei-
ligen Geschäftsmodelle zugeschnitten ist.
Dennoch, so zeigen die Betrachtungen der anderen Standards, kann in be-
stimmten Gebieten die Integration weiterführender Standards Sinnvoll und
nötig sein. Vor allem bei der Software Entwicklung bieten sich hier gute Mög-
lichkeiten, die Anforderungen zu konkretisieren und in ein praktikables Modell
zu überführen.
6 Fazit und Ausblick
Seite 74
6.2 Aligning Cobit, ITIL und ISO 27001
Das IT-Governance Institute (ITGI) und OGC haben gemeinsam eine Studie
zur Zusammenführung der verschiedenen Standards veröffentlicht. „Aligning
COBIT, ITIL and ISO 17799 for Business Benefit“41 Das itSMF unterstützte die
Studie ebenfalls.
In der Studie wird CobiT aufgrund seiner breiten Aufstellung und Berücksich-
tigung mehrerer Standards eine Integrator Rolle zugeschrieben. CobiT soll
die erwähnten Standards unter eine Regenschirm bringen.
Dies sehen die Autoren der Studie vor allem darin begründet, dass durch die
wachsende Bedeutung regulatorischer Anforderungen, Unternehmen Best-
Practices nicht mehr nur nach technischen Anforderungen ausrichten, son-
dern Governance Kriterien zukünftig berücksichtigen werden.
Das Modell sieht CobiT an höchster Stelle stehend. Aufbauend auf einem
Prozessmodell liefert CobiT eine allgemeingültiges Maßnahmen und Kontroll
Rahmenwerk, dass jeder Organisation passen sollte. Bestimmte, abgeson-
derte Bereiche könnnen durch ISO 27001 oder ITIL abgedeckt werden.
Diese Form der Verschmelzung wird im Kontext der hier gewonnenen Er-
kenntnisse Kritisch gesehen. Eine Verzahnung der verschiedenen Standards
ist ein wünschenswertes Ziel dem voll und ganz zugestimmt werden kann.
Dennoch scheint CobiT aufgrund der erlebten Spezifität nicht geeignet als
Integrator zu dienen.
41 Vgl. www.isaca.org
6 Fazit und Ausblick
Seite 75
Der ISO 27001 scheint aufgrund der allgemeinen Orientierung und Fokussie-
rung auf ein Managementsystem viel eher dazu geeignet. Vor allem zwi-
schen ITIL und ISO 27001 bestehen sehr gute Anknüpfungspunkte, an de-
nen die beiden Standards sich ideal ergänzen. CobiT wirkt dagegen wie ein
von oben Aufgezwungenes Korsett, bei dem man sich an feste und bestimm-
te Vorgaben zu halten hat.
ITIL ergänzt und das ISMS um die praktischen IT-Service orientierten Maß-
nahmen und erlaubt gleichzeitig eine Ausrichtung der internen IT-Prozesse
an Best-Practices. Denn IT-Service sollte nicht nur als externe Dienstleistung
gesehen werden, für die internen Mitarbeiter ist ein funktionierendes IT-
Service Management mindestens genauso wichtig.
6.3 Ausblick
Generell werden sich die Standards weiter annähern, was für den Anwender
nur gut sein kann. Sicherheit bleibt ein spannendes Thema und die Integrati-
on bzw. das Leben und Arbeiten mit Sicherheit wird sich immer nahtloser
gestalten. Gerade deshalb scheint eine ständige Sensibilisierung des The-
mas notwendig, denn eine der größten Bedrohungen ist die menschliche
Nachlässigkeit.
Mit der Einführung der auch als EURO-SOX bezeichnete 8. EU-Richtlinie im
Juli 2006 verschärfen sich auch die regulatorischen Anforderungen. Die nähe
zu SOX wird durch die Forderung der Einrichtung eines internen Kontrollsys-
tems (IKS) deutlich. Diese Kontrollsystem soll die Wirksamkeit von internen
Kontrollen, Innenrevision und Risikomanagement überwachen.
Bis spätestens 29. Juni 2008 muss EURO-SOX in nationales Vorschriften
umgesetzt sein. Brauchten sich Unternehmen, die nicht an der SEC gelistet
6 Fazit und Ausblick
Seite 76
waren, bisher nicht mit den Anforderungen von SOX auseinander zusetzen,
so sind von der EU-Regelung alle Kapitalgesellschaften betroffen. Damit
werden auch kleinere und mittelständische Unternehmen gezwungen, sich
mit den Themen Risikomanagement, IT-Security und Sicherheitsaudits inten-
siv zu beschäftigen42 .
42 Vgl. Bitkom, „Kompass der IT-Sicherheitsstandards“, Oktober 2007